MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1612: Создание образа на узле

Злоумышленники могут создать образ контейнера непосредственно на узле, чтобы обойти защиту от получения вредоносных образов из общедоступных реестров. Они могут удаленно отправить в Docker API запрос build,включающий файл Dockerfile, которые извлекает стандартный базовый образ, например alpine, из публичного или локального реестра, и создает на его основе нужный злоумышленникам образ.

Злоумышленники могут использовать команду build API для создания на узле образа с вредоносным ПО, загруженным с их командного сервера, а затем развернуть контейнер на основе этого образа. Если базовый образ извлечен из общедоступного реестра, средства защиты, скорее всего, не определят его как вредоносный, поскольку это стандартный образ. Если базовый образ уже хранится в локальном реестре, его извлечение считается еще менее подозрительным, так как он уже находится в среде.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «docker build» или «kubectl build»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0007Источник и компонент данныхОбраз: Создание образаОписание

Отслеживайте неожиданные запросы к демону Docker на сборку образов Docker на узлах рабочей среды.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте сетевой трафик, связанный с запросами и (или) загрузкой образов контейнеров, особенно тех, которые могут быть нелегитимными или заведомо вредоносными.

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте сетевые подключения к необычным IP-адресам, к которым ранее не было подключений из рабочей среды, — это может указывать на загрузку вредоносного кода.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте сетевые подключения к необычным IP-адресам, к которым ранее не было подключений из рабочей среды, — это может указывать на загрузку вредоносного кода.

Меры противодействия

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Ограничьте взаимодействие со службой контейнера локальными сокетами Unix или удаленным доступом через SSH. Требуйте безопасный доступ к порту для связи с API по TLS, отключив неаутентифицированный доступ к Docker API на порту 2375. Вместо этого общайтесь с Docker API по протоколу TLS на порту 2376.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями.

IDM1047НазваниеАудитОписание

Проводите аудит развернутых в среде образов на предмет отсутствия в них вредоносных компонентов.

IDM1030НазваниеСегментация сетиОписание

Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.